In un post sul rapporto fra organismo di vigilanza 231 e GDPR ho accennato al modo di intendere il concetto di “prevenzione” dei reati presupposto, evidenziando come sia più opportuno parlare di “dissuasione”. La differenza è sottile ma importante perchè definisce gli obiettivi da raggiungere nelle scelte organizzative e in particolare di quelle in ambito IT.
“Prevenire” significa impedire che qualcosa accada.
“Dissuadere” significa far si che se qualcosa deve accadere, che accada altrove e (per quanto attiene alla conformità 231, al di fuori della sfera di controllo dell’ente).
Un esempio chiarisce la differenza.
Un manager corrompe un funzionario pubblico per ottenere un permesso di costruire utilizzando fondi dell’ente per il quale lavora grazie all’assenza di controlli incrociati sulla gestione degli strumenti di pagamento o sul merito delle spese . Astrattamente non si può escludere che il reato sia stato commesso anche nell’interesse dell’ente il quale potrebe avere deliberatamente strutturato la propria operatività in modo da “guardare dall’altra parte” o – per dirla all’inglese – per godere di “plausible deniability”. E’ evidente che in questo caso – a partire dalla responsabilità dell’OdV che ha avallato il modello – ci sono delle responsabilità condivise.
Se lo stesso manager corrompe lo stesso funzionario per ottenere lo stesso atto amministrativo ma lo fa con fondi propri, contattando il funzionario fuori dall’orario di lavoro, con strumenti di comunicazione personali (cioè senza che l’ente se ne possa accorgere) non si pone un problema 231 perchè nessun modello può estendersi fino ad invadere spazi (fisici e digitali) fuori dal controllo diretto dell’ente.
Un modello 231 basato sulla prevenzione, invece, deve necessariamente accentuare la componente legata ai controlli individuali diretti, con la conseguenza che l’interazione con il GDPR fa aumentare l’ordine di grandezza della complessità globale.
Un modello 231 basato sulla dissuasione, come detto, fa si che l’apicale sia costretto a commettere il reato – e a questo punto, evidentemente, solo nel proprio interesse – in modo che l’ente non ne possa sapere nulla. Un approccio del genere implica un maggiore accento sull’adozione di processi che a monte scoraggiano la commisione di illeciti e scelte di tipo tecnologico non necessariamente orientate al controllo preventivo e diffuso, Un minore accento sui controlli interni individuali faciliterebbe anche la convivenza del modello 231 con quello GDPR.
La difficoltà principale nel seguire questo scondo approccio sta nel fatto che non è possibile applicarlo limitandosi a parafrasare le linee guida 231 emanate da Confindustria.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte